• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    云环境下企业如何保障数据安全

    来源:中国信息安全 2020-01-03 11:09:09 数据安全 金融安全
         来源:中国信息安全     2020-01-03 11:09:09

    核心提示从2002年起,国内就出现了以防止敏感信息泄露为目的的防水墙系统,数据防泄密领域先后发展了主机监控与审计、桌面管理、终端安全、补丁管理、移动存储介质管理、终端准入等安全管理手段。

    文 | 腾讯安全高级安全专家 陈曦

    伴随数据成为企业的核心资产,数据安全已经成为所有企业在产业互联网时代必须直面的挑战。当前数据安全态势不容乐观,数据泄露事件不断增长。企业为此不仅付出了高额的代价,还将面临来自监管更为严厉的处罚,如GDPR和国内不断落地的相关法律法规,进一步做好数据安全的重要性对企业不言而喻。

    转认知:从数据流动的角度看待数据安全

    数据安全是一个老生常谈的问题。在过去的防护策略中,企业往往以网络安全为抵御攻击为中心、以黑客为防御对象构建安全防护体系,常见的是围绕一个数据库、一个产品、一个网站、一个服务器等等。从2002年起,国内就出现了以防止敏感信息泄露为目的的防水墙系统,数据防泄密领域先后发展了主机监控与审计、桌面管理、终端安全、补丁管理、移动存储介质管理、终端准入等安全管理手段。目前这类手段就如同IDS、防火墙、杀毒软件一样,从网络边界、系统安全、设备管控的角度来保证内部信息不受外部的入侵、更多的是用堵的方式来堆砌高墙,把需要保护的信息给围起来。

    但在数字化时代,企业数据一旦生产出来后就会进入传输、存储、处理、分析、访问与服务应用等各环节,且周而复始如同流淌的血液,而这些环节涉及研发运维人员、最终用户、生态伙伴、服务器、办公终端、内外网络、大数据分析平台、云平台等,任意一个环节都面临着数据安全挑战,造成企业数据失血。

    这意味着企业不能只在关键节点构筑防御堡垒。梳理近年来层出不穷的数据泄露事件不难发现,背后原因纷繁复杂:黑客的攻击、内部工作人员的信息贩卖、离职员工的信息泄露、第三方外包人员的交易行为、数据共享第三方的数据泄露、开发测试人员违规等。多种原因导致的数据泄露事件折射出的是,仅仅依靠单点防护难以达到真正的安全防护效果。

    企业保护数据安全应该转向以数据为中心构建防护策略,并遵循数据流动的方向,构建基于全生命周期的安全防护。值得一提的是,企业上云大潮的趋势下,讨论数据安全绝大部分都要从云环境出发,云原生的数据保护技术和策略也将成为当下及未来的主要手段。

    找难点:四个关键动作

    从数据流动的角度出发,自然而然地就引出了数据全生命周期的概念,这一策略目前也被大量安全厂商和企业认可,但实现数据全生命周期的安全防护却并非易事。腾讯云从保护云上租户数据安全的经验中总结了四大挑战。

    1.数据的分类、治理和策略的管理

    万事开头难。数据全生命周期的防护从数据生产之时就已经启动,此时的防护重点是需要对数据进行分级,明确哪些是机密数据、敏感数据、普通数据,进而根据数据的不同等级,设置不同的安全策略。这一步对于企业而言的价值还在于摸底企业自身数据资产,在数据俨然成为信息能源的时代,企业只有在掌握自己数据资产的基础下,才能基于大数据、人工智能等数字化技术抓住转型升级的浪潮。

    2.数据保护技术

    数据在存储、传输、使用过程中如何应用加密技术以及脱敏技术进行数据的保护是第二大重点,这也是整个数据生命周期中攻防对抗的重头戏。对于机密数据而言,需要持续性的保护,因为它们在企业内部和组织内共享,企业必须确保其数据库、文档管理系统、文件服务器和实践在整个生命周期内正确分类;敏感数据的处理方面,如何保证自动化发现、丰富的脱敏算法,以及对于不便于脱敏的数据如何进行通过水印技术进行溯源追责同样是技术应用难点。

    3.密钥管理

    前不久《密码法》颁布,对于不少行业而言,应用加密技术保护数据已然成为刚需。在应用加密技术之后,数据安全问题也就转化成了密钥的安全问题,如何保护密钥的安全也因此成了一大难点。但是密码技术却存在老三难——“难做、难用、难管”,密码算法、密码产品、密码应用三者明显脱节,国密密码算法涉及的应用改造工作量巨大更是不可忽视的挑战。如何保证密钥的保密性、完整性和可用性,满足企业多应用、多业务的密钥管理需求,并符合监管和合规要求是密钥管理的重中之重。

    4.事件监测分析

    数据安全不仅是技术问题,更是管理问题,大量企业遭遇“内鬼”泄密的案例折射出安全管理在数据安全上的重要价值。企业需要同时在运维审计和数据库审计方面发力,及时发现异常行为,排除安全风险。是否能有效应用AI在审计场景中,是时下讨论事件监测分析的热点,基于AI将员工每一次行为都记录并抽象成行为模型,了解其与敏感资产的交互规律。这样一旦当员工开始访问正常工作中用不到的敏感信息时,系统就会进行直观展现与预警,那么即使像“蚂蚁搬家”这样隐秘的数据窃取操作方式也能被及时发现和预警。

    看实践:腾讯云数据全生命周期保护体系

    作为国内头部的云平台之一,腾讯云的数据安全保护实践是重要的参考样本,尤其是腾讯去年9月30日战略升级之后,在安全方面拉通了腾讯安全的能力,进一步保障云上租户的数据安全性。目前在数据安全方面,腾讯云综合运用数据安全管理经验和数据保护技术打造了数据安全治理中心、数据加密服务、密钥管理系统、凭据管理系统、数据安全审计、堡垒机、敏感数据处理等七大产品体系,针对性地在数据全生命周期每个阶段提供保护,助力企业快速构建云上数据安全防线。

    其中, 基于数据流的理念,腾讯云通过数据安全治理中心对数据资产感知与风险识别,为企业云上敏感数据进行定位与分类分级,并帮助企业针对风险问题来设置数据安全策略,提高防护措施有效性。有别于其他的数据资产感知产品,数据安全治理中心以数据安全治理为核心,重点强化数据资产感知、数据安全治理、联防联控。同时,结合腾讯和生态的优势为企业提供安全管理咨询、安全技术咨询、安全专家服务,实现服务能力的整合。

    密码服务更是腾讯云的特色安全服务之一。基于腾讯安全数据保护能力打造的 “云数据安全中台”,腾讯云可以为企业用户提供端到端的数据全生命周期安全体系,将密码运算、密码技术及密码产品以服务化、组件化的方式输出,并无缝集成至腾讯云产品中。“云数据安全中台”还通过标准化的API接口/SDK服务,让密码技术“开箱即用”,实现从数据获取、事务处理及检索、数据分析与服务,数据访问与消费过程中的安全防护,企业可以据此极简构建全生命周期的数据加密能力。

    在具体的安全产品上,腾讯云还应用了诸多前沿的安全技术。为了对抗量子计算对加密的威胁,开发了量子计算机也无法破解的抗量子加密算法;使用AI引擎的数据库审计,可以更精准的识别如SQL注入等恶意语句,并实现了20万SQL每秒的业内领先吞吐速度;在大数据融合计算中,提供K匿名脱敏算法,保证个人隐私数据无法被还原窃取,同时将误差控制在2%以下,极大地保留了数据的可用性;另外还获得了密文求交集的研发专利,针对性解决联合营销推广、征信查询、联合建模等场景下的数据泄露风险。

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定